"Er zijn enorm veel IoT-toestellen die op het internet zitten," zegt Dan Demeter, beveiligingsonderzoeker bij Kaspersky's Global Research and Analysis Team, "en aanvallers zijn daarin geïnteresseerd." Hoe geïnteresseerd? Dat toont hij samen met zijn baas Marco Preuss op de conferentie Kaspersky Next, via enkele resultaten van hun 'Honepot-as-a-Service'-onderzoek rond IoT-toestellen.

Een grote hoeveelheid slecht beveiligde toestellen maken een goed botnet, zoals de Mirai-aanvallen in 2016 hebben geleerd. "Hoe vecht je daartegen? Mirai en andere botnets worden vooral ingezet voor DDoS-aanvallen. Om dat tegen te gaan heb je een betere internetverbinding nodig, daar kunnen wij niet bij helpen. Maar we kunnen wel kwetsbare toestellen identificeren, met een honeypotsysteem," aldus Demeter.

Het idee achter een honingpot is om een toestel online te gooien en te laten aanvallen. Heel wat securitybedrijven zetten ze in om bijvoorbeeld malwarevoorbeelden te verzamelen, of om uit te vissen waar criminelen vandaan komen. Honingpotten doen zich voor als kwetsbare servers, computers, of - we zeggen maar wat - een IP-camera met een bekende fout erin.

"IoT-devices zijn niet veel meer dan embedded toestellen, die meestal Linux draaien en enkele standaard diensten geïnstalleerd hebben," zegt Marco Preuss. "Denk bijvoorbeeld aan veel voorkomende serverinfrastructuur voor controle op afstand. Het probleem is dat het vaak om oude versies van die diensten gaat, die kwetsbaar zijn voor aanvallen. Wat wij doen is die diensten met onze eigen software emuleren. De toestellen worden aangevallen, we laten hackers hun malware droppen, en dan gaan we al die informatie verzamelen."

Meeste aanvallen uit China

Het project startte eind 2018 en registreert nu zo'n 300.000 aanvallen per dag, waaruit dagelijks gemiddeld een vijfduizend malware samples te puren vallen. Wat het team daaruit leert is dat de meeste aanvallen, niet helemaal onverwacht, uit China komen, gevolgd door Rusland en (iets meer onverwacht) Egypte.

"Dat China zo actief is heeft veel te maken met de grote hoeveelheid goedkope IoT-devices die dat land produceert en verkoopt, zowel aan de eigen bevolking als daarbuiten," aldus nog Demeter.

Wachtwoorden nog steeds een probleem

Wat leert dat onderzoek nog? De methodes die aanvallers gebruiken zijn over het algemeen vrij simpel. Vaak starten ze met een kwetsbaarheid in de software, of een combinatie van een gebruikersnaam en een wachtwoord waarmee ze proberen in te loggen. Dat laatste komt erg vaak voor bij IoT-toestellen, waar mensen zelden het standaard 'admin'-wachtwoord veranderen. In de lijst van veelgebruikte combinaties die het team onderschepte, staan dan ook de standaard wachtwoorden en logins voor een hele reeks populaire IP camera's en andere slimme toestellen. "Je hebt daarnaast ook 'hardcoded' wachtwoorden in bijvoorbeeld routers. Die zitten ingebakken in de firmware en je kan die niet veranderen," voegt Demeter toe. "Iedereen die dat wachtwoord kent, kan in je router inloggen. Het is de ultieme kwetsbaarheid."

Kaspersy wil met het onderzoek onder meer trends in aanvallen te weten komen. Zien we dan bijvoorbeeld al complexere aanvallen op beter beveiligde IoT-toestellen, vragen we aan Marco Preuss. Het soort dat geen standaard wachtwoord heeft en misschien zelfs hardware security of device monitoring aan boord? "Nee," schudt hij het hoofd. "Waarom zouden ze? Er is meer dan genoeg laaghangend fruit dat ze sneller en met minder werk kunnen infecteren."